11 июля, суббота 22:06
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

382-П

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от ost Посмотреть сообщение
    В виду отсутствия сертификата ФСТЭК они становятся в РФ вне закона или как?
    Сертификация это не единственная дорога в известной мне редакции изменений 382-П.
    МПС (точнее операторы услуг платежной инфраструктуры) купят на них бумажку про "анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4".

    Комментарий


    • Сообщение от ost Посмотреть сообщение

      Кстати, возник вопрос по использованию Apple Pay, Samsung Pay и т.п. платежных приложений. В виду отсутствия сертификата ФСТЭК они становятся в РФ вне закона или как?
      По таким широким критериям отнесения ПО к платежному, думаю, многое из используемого ПО не будет соответствовать.
      Прогнозирую, что добиться полного выполнения требований пункта 14.1 (НДВ или ОУД4 платежного ПО) приложения 2 к 382-П для получения оценки "1" будет сложно. А вот 0,5 получить вполне реально.
      Если хотя бы одно используемое банком платежное приложение сертифицировано или для него проведен анализ уязвимостей - это оценка 0,5, т.е. "уже не ноль". А нет нуля - нет понижающего коэффициента.
      Аналогичное ощущение есть по по пунктам 81.1 и 81.2 (разделение контуров создания и подтверждения электронных сообщений). Выполнение всех мер по разделению контуров может создать существенные неудобства в работе клиенте. А выполнить бОльшую часть реально, оценка будет 0,5-0,75.

      Комментарий


      • Сообщение от Berckut Посмотреть сообщение

        Не могут они так резко ввести. Обычно всегда пол года давали на ввод в действие. Срок 01.07.2018 явно стоит из-за того, что планировали принять ещё в прошлом году.
        Так что можно провести самооценку по старому перед вступлением в силу изменений и жить спокойно ещё 2 года. Я так планирую делать и исходя из этого запланировал самооценку на осень.
        Уточнил в ГУБиЗИ. Пока в редакции дата введения требования по внешней оценке остается той же - 01.07.2018.
        Просто проведенная ранее самооценка продолжает действовать, поэтому срочности не возникает.
        Так что осенью банку провести самооценку скорее всего не получится. При условии, конечно, что к этому времени редакцию 382-П зарегистрируют в Минюсте

        Комментарий


        • Сообщение от nos313 Посмотреть сообщение

          Уточнил в ГУБиЗИ. Пока в редакции дата введения требования по внешней оценке остается той же - 01.07.2018.
          Просто проведенная ранее самооценка продолжает действовать, поэтому срочности не возникает.
          Так что осенью банку провести самооценку скорее всего не получится. При условии, конечно, что к этому времени редакцию 382-П зарегистрируют в Минюсте
          Теоретически на этом тоже можно попробовать сыграть. Провести аудит в августе. Понятно, что результат будет плачевным, но ниже 0,5 он опуститься не должен. При этом, опять же, можно обосновать такой результат тем, что не было времени на внедрение новых мер - вроде как не банк виноват за такой результат, а Банк России, потому что не дал времени на подготовку. И опять же, не нервничать 2 года.
          Но тут большие репутационные риски и руководство будет пИсать кипятком. Но это уже терпимо - привыкли. Уволят наврядли - альтернативы в виде других работников на рынке труда всё равно почти нет. Это я утверждаю, как человек, который за 4 года трижды пытался найти хорошего специалиста в отдел.

          Комментарий


          • Сообщение от Berckut Посмотреть сообщение
            Понятно, что результат будет плачевным
            Почему плачевным, разве мало на рынке компаний с лицензией ФСТЭК, которые согласятся с вашей самооценкой?

            Комментарий


            • Сообщение от nos313 Посмотреть сообщение
              по пунктам 81.1 и 81.2 (разделение контуров создания и подтверждения электронных сообщений)
              ЕМНИП, разделение контуров вообще не обязательно, по крайней мере в том тексте, что был вывешен на всеобщее обозрение стоит союз "ИЛИ".

              ... обеспечивает реализацию технологических мер по разделению контуров подготовки и подтверждения клиентом электронных сообщений (далее – разделение контуров) и (или) реализует ограничения по параметрам операций по осуществлению переводов денежных средств, определяемые договором ...

              2.10.7. При реализации ограничений по параметрам операций по осуществлению переводов денежных средств могут применяться следующие ограничения на:
              - максимальную сумму перевода денежных средств за одну операцию и (или) за определенный период времени;
              - перечень возможных получателей денежных средств;
              - временной период, в который могут быть совершены переводы денежных средств;
              - географическое местоположение устройств, с использованием которых может осуществляться подготовка и (или) подтверждение клиентом электронных сообщений;
              - перечень идентификаторов устройств, с использованием которых может осуществляться подготовка и (или) подтверждение клиентом электронных сообщений;
              - перечень предоставляемых услуг, связанных с осуществлением переводов денежных средств;
              - иные ограничения по параметрам операций по осуществлению переводов денежных средств.».
              т.е. достаточно предусмотреть лимиты на переводы и разделение контуров можно посылать лесом. Не?

              P.S. Содержание 382-П это ещё то хамно, там возможна сотня разных трактовок, а при этом ЦБ-шники любят пинать PCI-DSS типа там аудиторы по разному трактуют требования... Хотя в PCI-DSS на порядок лучше описано зачем применяется мера защиты, от каких угроз она защищает и даны гайдлайны как её реализовывать.

              Комментарий


              • Сообщение от ost Посмотреть сообщение
                т.е. достаточно предусмотреть лимиты на переводы и разделение контуров можно посылать лесом. Не?
                да, но при этом по п.2.10.6 же придется ставить "0"

                Почему-то никто не говорит про работу с инцидентами ИБ в новой редакции 382-П. Я правильно понимаю, что по каждому обращению клиента об использовании ЭСП без его согласия (в т.ч. несанкционированные переводы/снятия по картам), банк в течение рабочего дня обязан отправить информацию об этом в FinCERT, заполняя дурацкий файл коммерческого формата иностранного вендора Microsoft (форма EXT)? 21 век, XML-схемы? - не знаем..

                Код (EXT) Направлен на клиента организации (внешний)
                Информация предоставляется в течение одного рабочего дня с момента выявления соответствующего инцидента (обращения клиента) вне зависимости от кода.

                Комментарий


                • Сообщение от Александр Четвертый Посмотреть сообщение
                  да, но при этом по п.2.10.6 же придется ставить "0"
                  Нетушки, там мы поставим N/A (нет оценки, неактуально).

                  Сообщение от Александр Четвертый Посмотреть сообщение
                  Я правильно понимаю, что по каждому обращению клиента об использовании ЭСП без его согласия (в т.ч. несанкционированные переводы/снятия по картам), банк в течение рабочего дня обязан отправить информацию об этом в FinCERT,
                  Это какой пункт? Сомневаюсь я, что у них там людей хватит ёксели вручную разгребать...

                  Комментарий


                  • Сообщение от ost Посмотреть сообщение
                    Это какой пункт? Сомневаюсь я, что у них там людей хватит ёксели вручную разгребать...
                    Вот эти изменения 382-П совместно с регламентом FinCERT:

                    В пункте 2.2: абзац шестнадцатый изложить в следующей редакции: «Оператор по переводу денежных средств, оператор платежной системы, оператор услуг платежной инфраструктуры к инцидентам, связанным с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, относят события, которые возникли вследствие нарушения или попыток нарушения целостности, конфиденциальности и (или) доступности защищаемой информации, в том числе включенные в перечень инцидентов, размещаемый Банком России на официальном сайте Банка России в информационно-телекоммуникационной сети «Интернет» (далее – перечень инцидентов).»;
                    Далее:

                    Дополнить пунктом 2.131 следующего содержания: «2.13.1 Оператор по переводу денежных средств, оператор услуг платежной инфраструктуры осуществляют информирование Банка России: о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, в том числе включенных в перечень инцидентов;
                    Информирование осуществляется в форме электронных сообщений. Информация о технологиях подготовки, направлении и форматах электронных сообщений, согласованных с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, размещается на официальном сайте Банка России в информационно-телекоммуникационной сети «Интернет».».
                    «Информирование о технической стороне инцидентов будет направляться в ЦБ незамедлительно, это следует из новой редакции постановления ЦБ 382-П, которая сейчас находится на регистрации в Минюсте»,— рассказывает консультант по безопасности Cisco Алексей Лукацкий. https://www.kommersant.ru/doc/3658150

                    Комментарий


                    • Александр Четвертый

                      Надо смотреть "перечень инцидентов, размещаемый Банком России на официальном сайте Банка России в информационно-телекоммуникационной сети «Интернет» (далее – перечень инцидентов)" © Не факт, что надо отправлять "по каждому обращению клиента об использовании ЭСП без его согласия". А так, ну чего не отправить, девочкам инструкцию спустим, чтобы каждую ябеду в ёксель, а потом в финЦерт.

                      З.Ы. Подождем, когда финцерт опухнет от кол-ва писем. А то ещё можно написать скриптик, для конвертации логов касперского и чекпоинта в csv (= ёксель) и слать весь этот хлам в финцерт. Вы это просили -- вот вам! ©.

                      Комментарий


                      • Сообщение от ost Посмотреть сообщение

                        Почему плачевным, разве мало на рынке компаний с лицензией ФСТЭК, которые согласятся с вашей самооценкой?
                        Плачевным, потому что если вступит в силу с июля, а самооценку я проведу через месяц, то по каждому новому требованию я получу 0, что неминуемо обрушит общий бал.

                        Комментарий


                        • ost

                          Сообщение от Александр Четвертый Посмотреть сообщение
                          о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, в том числе включенных в перечень инцидентов
                          Вы же регистрируете такие случаи (использование ЭСП без согласия клиента) как инциденты ИБ - значит надо как-то о них информировать ЦБ. Какая тут может быть позиция при проверке то, если этого не делать?

                          Комментарий


                          • Сообщение от Александр Четвертый Посмотреть сообщение
                            Вы же регистрируете такие случаи (использование ЭСП без согласия клиента) как инциденты ИБ
                            Не сразу, а только после разбирательства. Есть масса случаев, которые отпадают, причем не сразу. ("ой я вспомнила, я дочке карту давала", "не, ну я ж в карты всегда выигрываю, а там в казино...", и т.п.).

                            Комментарий


                            • Сообщение от Berckut Посмотреть сообщение
                              Провести аудит в августе. Понятно, что результат будет плачевным, но ниже 0,5 он опуститься не должен.
                              Если отчитаться в ЦБ об оценке ниже 0,7, они обязательно строго спросят банк о причинах такой оценки. И самого себя к причинам снижения оценки ЦБ относить явно не захочет
                              Может, лучше растянуть процесс внешней оценки во времени? Мы предлагаем проводить аудит в 3 этапа: 1) предварительный аудит без оформления отчета, 2) устранение недостатков банком, 3) официальный аудит. Чем раньше сделать первый этап, тем больше времени останется на второй. После устранения всех выявленных недостатков окончательный аудит уже будет делом техники.

                              Сообщение от ost Посмотреть сообщение
                              ЕМНИП, разделение контуров вообще не обязательно, по крайней мере в том тексте, что был вывешен на всеобщее обозрение стоит союз "ИЛИ".
                              В общем-то да.
                              В реализации требований исхожу из того, что большинство банков будет все же применять обе меры: для конкретного клиента может применяться или разделение контуров, или ограничения по параметрам операций.
                              Не хочет клиент иметь ограничения по операциям - пусть использует меры по разделению контуров. А банк должен иметь возможность используемом у себя решении такие меры реализовать.

                              Сообщение от Александр Четвертый Посмотреть сообщение
                              Я правильно понимаю, что по каждому обращению клиента об использовании ЭСП без его согласия (в т.ч. несанкционированные переводы/снятия по картам), банк в течение рабочего дня обязан отправить информацию об этом в FinCERT
                              По информированию FinCERT я бы еще посмотрел в проект СТО БР ИБФО-1.5-2018 об обмене информацией с FinCERT, который был утвержден 30 мая на заседании ПК1 ТК122.
                              В нем есть и форматы, и сроки информирования FinCERT, и в неявном виде перечень инцидентов.
                              Например, сроки:
                              - первичное уведомление осуществляется в течение 24 часов с момента выявления инцидента;
                              - промежуточное уведомление - в течение 2-х рабочих дней с момента первичного или предыдущего промежуточного уведомления;
                              - уведомление по результатам закрытия инцидента – в течение 3-х рабочих дней с момента закрытия инцидента).



                              Комментарий


                              • Изменения в Положение № 382-П 21 июня возвращены из Минюста БЕЗ РЕГИСТРАЦИИ: http://www.consultant.ru/law/review/207016537.html/
                                По информации от коллег, есть мелкие недоработки. Из-за них и вернули.

                                Комментарий


                                • Сообщение от nos313 Посмотреть сообщение
                                  Изменения в Положение № 382-П 21 июня возвращены из Минюста БЕЗ РЕГИСТРАЦИИ: http://www.consultant.ru/law/review/207016537.html/
                                  По информации от коллег, есть мелкие недоработки. Из-за них и вернули.
                                  зарегистрировали 22 июня

                                  Комментарий


                                  • Сообщение от donZhukan Посмотреть сообщение

                                    зарегистрировали 22 июня
                                    А откуда дровишки? Как бы должны были бы уже опубликовать. И какая всё таки дата вступления в силу?

                                    Комментарий


                                    • Berckut
                                      нам отделение прислало 4793-У зарегистрированную Минюстом от 22.06.2018 №51411

                                      Комментарий


                                      • Сообщение от donZhukan Посмотреть сообщение
                                        Berckut
                                        нам отделение прислало 4793-У зарегистрированную Минюстом от 22.06.2018 №51411
                                        Это хорошо! Видимо, до Консультанта долго информация доходила.
                                        А вот и Артем Сычев в Твиттере отписался https://twitter.com/ArtemSichev/stat...85162385166338

                                        Что-то тормозят с опубликованием...
                                        На http://publication.pravo.gov.ru/Sear...s?type=monthly предыдущие и последующие номера уже есть, а 51411 от 22.06.18 еще нет.
                                        Последний раз редактировалось nos313; 27.06.2018, 12:13.

                                        Комментарий


                                        • Ну всё, можно уходить в запой. Опубликовали.
                                          http://cbr.ru/analytics/?PrtID=na_vr&docid=607

                                          Вступает в силу с июля.

                                          Комментарий


                                          • Коллеги добрый день! Я правильно понял что у меня по срокам запланировано проведение самооценки на сентябрь, теперь для меня это не актуально и я должен буду организовывать внешней аудит?

                                            Комментарий


                                            • Сообщение от Norc Посмотреть сообщение
                                              Коллеги добрый день! Я правильно понял что у меня по срокам запланировано проведение самооценки на сентябрь, теперь для меня это не актуально и я должен буду организовывать внешней аудит?
                                              О, брат нашёлся! ))))
                                              Тоже должен провести не позднее ноября.
                                              Да, теперь только внешний аудит. Либо очень быстро успеть оформить июнем, но у меня это нереально.

                                              Комментарий


                                              • Теперь вопрос? Двух годичный срок я должен отсчитывать с 1 июля 2018 года должен буду или с даты последней самооценки? Для проведения внешнего аудита.

                                                Комментарий


                                                • Сообщение от Norc Посмотреть сообщение
                                                  Двух годичный срок я должен отсчитывать с 1 июля 2018 года должен буду или с даты последней самооценки?
                                                  Текст по срокам же не изменился - раз в 2 года.

                                                  Комментарий


                                                  • Сообщение от Александр Четвертый Посмотреть сообщение

                                                    Текст по срокам же не изменился - раз в 2 года.
                                                    Я имею в виду что например срок действия прежней самооценки у меня истекает в сентябре 2018 года, соответственно мне нужно проводить ее повторно, но теперь я этого не могу сделать так ка с 1 июля, это возможность будет отсутствовать и необходимо проводить внешней аудит, соответственно у меня возникает вопрос теперь нужно провести успеть внешней аудит в срок до сентября 2018 года или я могу с 1 июля начинать новый отсчет сроком в 2 года и повести например внешней аудит в 2019 году можно?

                                                    Комментарий


                                                    • Сообщение от Norc Посмотреть сообщение

                                                      Я имею в виду что например срок действия прежней самооценки у меня истекает в сентябре 2018 года, соответственно мне нужно проводить ее повторно, но теперь я этого не могу сделать так ка с 1 июля, это возможность будет отсутствовать и необходимо проводить внешней аудит, соответственно у меня возникает вопрос теперь нужно провести успеть внешней аудит в срок до сентября 2018 года или я могу с 1 июля начинать новый отсчет сроком в 2 года и повести например внешней аудит в 2019 году можно?
                                                      Обязанности проводить самооценку не было. Была обязанность проводить оценку соответствия. Абзац, где было написано, что оценка соответствия может быть проведена в форме самооценки убрали и заменили на обязательный аудит.
                                                      Так что отсчёт срока надо вести с момента прошлой оценки соответствия. Прими мои искренние соболезнования.

                                                      Комментарий


                                                      • Сообщение от Norc Посмотреть сообщение
                                                        Я имею в виду что например срок действия прежней самооценки у меня истекает в сентябре 2018 года, соответственно мне нужно проводить ее повторно, но теперь я этого не могу сделать так ка с 1 июля, это возможность будет отсутствовать и необходимо проводить внешней аудит, соответственно у меня возникает вопрос теперь нужно провести успеть внешней аудит в срок до сентября 2018 года или я могу с 1 июля начинать новый отсчет сроком в 2 года и повести например внешней аудит в 2019 году можно?
                                                        Оценка проводится раз в 2 года. С 1 июля 2018 года оценка может быть только внешней. Если ваша самооценка заканчивается 30 июня - "переутвердите" ее 30 июня, какие проблемы. На ИБ оно не влияет.

                                                        Комментарий


                                                        • Сообщение от Александр Четвертый Посмотреть сообщение

                                                          Оценка проводится раз в 2 года. С 1 июля 2018 года оценка может быть только внешней. Если ваша самооценка заканчивается 30 июня - "переутвердите" ее 30 июня, какие проблемы. На ИБ оно не влияет.
                                                          Это же не так просто, мы делали это комиссией (приказы, заседания, протоколы и т.д.) по проведению оценки соответствия в форме самооценки. И еще с учетом того что большое количество пунктов требует пересмотра в связи с отказам от работы с "пластиком" и ТУ ДБО. (это конечно плюс для меня). Да еще и отпуск в июле)). Там же срок есть 30 дней на предоставление 202 формы в Банк России после утверждения, так что в срок мне не реально уложится до 31 июля ((. Придется руководство "обрадовать", что нужно тратить деньги. в 2013 году мне одна организация предлагала сделать внешней аудит за 250 тыс. руб., интересно какие сейчас расценки.

                                                          Комментарий


                                                          • Сообщение от Norc Посмотреть сообщение
                                                            Придется руководство "обрадовать",
                                                            Проект У-шки был опубликован более года тому назад. Надо было "подсуетиться" вовремя.
                                                            Теперь-то поздняк метаться.

                                                            Сообщение от Norc Посмотреть сообщение
                                                            в 2013 году мне одна организация предлагала сделать внешней аудит за 250 тыс. руб.
                                                            У мну под рукой предложение на внешний аудит по 552-П ценой в 572 тыс. руб. (это при том, что в 552-П обязаловки на внешний аудит нет). Делайте выводы. Хотя, компаний с лицензиями хватает, можно утоптать и найти того, кто согласиться и по старым ценам работать.

                                                            Комментарий


                                                            • Сообщение от ost Посмотреть сообщение

                                                              Проект У-шки был опубликован более года тому назад. Надо было "подсуетиться" вовремя.
                                                              Теперь-то поздняк метаться.



                                                              У мну под рукой предложение на внешний аудит по 552-П ценой в 572 тыс. руб. (это при том, что в 552-П обязаловки на внешний аудит нет). Делайте выводы. Хотя, компаний с лицензиями хватает, можно утоптать и найти того, кто согласиться и по старым ценам работать.
                                                              Я надеялся что изменения примут ближе к концу года, но не прокатило.
                                                              Да для банка который входит в ТОП-500 ), такие суммы очень большие, да и все сотрудники ИБ сталкиваются всегда с одной из главных проблем организации ИБ это не понимание важности ИБ со стороны руководства, для них это всегда не разумные траты, что поделать.

                                                              Комментарий

                                                              Обработка...
                                                              X